跳转至

页面永久链接

参考本页面时,请务必使用以下永久链接。它在将来的帮助版本中将保持不变。

https://docs.sophos.com/central/Mobile/help/zh-cn/index.html?contextId=apple-user-enrollment

Apple 用户注册

Apple 用户注册是一种为用户拥有的设备设计的管理模式,即自带设备办公 (BYOD) 方案。

限制

您不能在“Apple 用户注册”管理模式下注册受监管的设备。

管理式 Apple 帐户

用户注册使用管理式 Apple 帐户 (以前称为管理式 Apple ID) 在设备上建立用户标识并登录到 iCloud 等 Apple 服务。

管理式 Apple 帐户归您的组织所有和管理。您可以在 Apple 商务管理中为每个用户创建唯一的管理式 Apple 帐户。用户将其设备注册到 Sophos Mobile 时,必须登录其管理式 Apple 帐户。

您可以在 Apple 商务管理中通过 Microsoft Entra ID 配置联合身份验证,而不是手动创建管理式 Apple 帐户。在这种情况下,Apple 商务管理将管理管理式 Apple 帐户的创建,用户将登录其 Microsoft Entra ID 帐户。有关详细信息,请参阅 Apple 商务管理 文档。

在设备上,管理式 Apple 帐户和用户的个人 Apple 帐户同时存在。当用户从 Sophos Mobile 取消设备注册时,管理式 Apple 帐户和所有关联的数据都将从设备删除。

要了解有关管理式 Apple 帐户的详细信息,请参阅关于 Apple 商务管理中的管理式 Apple 帐户

个人数据和工作数据的分离

以用户注册模式注册的设备有一个托管的 Apple 文件系统 (APFS) 卷,用于存储工作数据。该卷包含以下内容:

  • 托管应用和应用数据
  • 托管的密钥链
  • 管理式 Apple 帐户的 iCloud 数据
  • “邮件”、“日历”和“便笺”应用存储的管理式 Apple 帐户数据

当用户从 Sophos Mobile 取消设备注册时,iOS 将删除托管的 APFS 卷。

管理功能。

因为用户拥有该设备,所有您只有有限的移动设备管理 (MDM) 功能。

您不能访问用户的个人数据。您只能在托管的 APFS 卷上管理和查询应用、证书和策略等内容。

您不能访问 UDID、IMEI 或 MAC 地址等设备标识。Sophos Mobile 通过用户将设备注册到 Sophos Mobile 时 iOS 创建的特定 ID 来确定设备。如果用户取消设备注册,然后又再次注册该设备,设备将获得一个新的 ID,Sophos Mobile 也会将其视为一个新设备。

由于 MAC 地址不能用于 Sophos Mobile,因此您不能对用户注册设备使用网络访问控制 (NAC)。

警告

您可以为设备密码设置规则,但如果用户忘了密码,您将不能对其进行重置。

应用管理

在“Apple 用户注册”设备上,您只能安装您在 Apple 商务管理 中购买的应用 (以前称为 Apple VPP 应用)。

通过 Sophos Mobile 安装这些应用,或将应用分配到管理式 Apple 帐户,让用户通过 App Store 安装。

每个应用只能在设备上安装一次,无论是用于个人 Apple 帐户 (个人应用) 还是用于管理式 Apple 帐户 (托管应用)。以下规则适用:

  • 如果用户已经安装了一个个人应用,您就不能再将它安装为托管应用。
  • 用户可以卸载托管应用,但如果用户重新安装该应用,它将仍然是托管应用。
  • 要让用户将您之前作为托管应用安装的应用安装成个人应用,您必须通过 Sophos Mobile 卸载该托管应用,或从该管理式 Apple 帐户中删除该应用的许可证。
  • “邮件”、“便笺”和“日历”是基于帐户的,可以同时存储管理式 Apple 帐户 (在托管的 APFS 卷上) 和个人 Apple 帐户 (在系统 APFS 卷上) 的数据。

帐户驱动的和基于描述文件的 Apple 用户注册

限制

基于描述文件的 Apple 用户注册适用于 iOS 和 iPadOS 17 及更低版本。

有两种 Apple 用户注册方法:帐户驱动的注册和基于描述文件的注册。帐户驱动的注册更简单,因为工作流程已内置于设备的“设置”应用中。

要了解有关 Apple 用户注册的一般信息,以及帐户驱动的注册和基于描述文件的注册之间的区别,请参阅 Apple 教程注册用户拥有的设备